CarderPlanet
Professional
Содержание
Существует правило онлайн-безопасности, которому научились на заре электронной коммерции и которое многие из нас практикуют по сей день: никогда, ни за что не отправлять номер своей кредитной карты по тексту или электронной почте. Даже если вы полностью доверяете получателю, логично предположить, что вы не можете быть уверены, что его электронные сообщения не будут взломаны, перехвачены или иным образом скомпрометированы. Вместо этого мы научились предоставлять информацию о нашей кредитной карте только через защищенные веб-сайты.
Что представляет собой “безопасный” веб-сайт, конечно, вопрос на века. О чистоте ресторана можно судить по состоянию его обеденного зала, но безупречная сервировка стола не является гарантией того, что на кухне нет грязи. Аналогичным образом, безопасное интерфейсное соединение - если у вас даже есть технические ноу—хау для проверки того, безопасно оно или нет, - не означает, что информация о кредитной карте будет обрабатываться в соответствии со строгими протоколами безопасности после того, как клиент передал ее продавцу.
В условиях, когда изощренные, громкие утечки данных затрагивают даже тех продавцов, которые добросовестно стараются обезопасить свои веб-сайты, убедить ваших клиентов в том, что вы делаете все возможное для защиты их информации, важно как никогда, но это также и более сложная задача.
Одним из возможных решений является токенизация: превращение конфиденциальных данных, таких как номера кредитных карт, в бессмысленные номера “токенов”, которые могут быть привязаны к учетным записям карточными сетями, но в своей токенизированной форме непонятны мошенникам и другим наблюдателям.
Тогда разумно ли, что продавцы должны использовать токенизацию в качестве меры безопасности, если они еще этого не сделали? Чтобы ответить на этот вопрос, давайте подробнее рассмотрим, как работает токенизация и какие шаги должны предпринять продавцы для ее эффективного внедрения.
Что такое токенизация?
Мобильные платежи являются одной из основных причин недавнего распространения токенизации. Поскольку в беспроводных сигналах передается больше номеров кредитных карт, чем когда-либо, мошенникам легко “прослушивать” небезопасные передачи.
Токенизация обеспечивает передачу конфиденциальных данных путем замены их чем-то, что не имеет внутреннего значения и не может быть расшифровано. Единственной стороной, способной связать токен с номером личного счета владельца карты, будет поставщик услуг токенизации, которым может быть сеть карт, платежный шлюз или платформа цифрового кошелька, такая как Google или Apple Pay.
Хотя токенизация чаще всего используется платежными системами со стороны владельца карты, она также может использоваться торговыми предприятиями для более эффективной защиты введенной клиентом информации о карте.
Шаг за шагом, вот как это работает:
Токенизация против шифрования
На первый взгляд может показаться, что токенизация - это просто шифрование с использованием какого-то нового бренда. Хотя оба процесса служат одним и тем же целям и имеют некоторое сходство, существуют ключевые различия.
Первое и наиболее важное отличие заключается в том, что шифрование является обратимым. Зашифрованные данные генерируются с использованием сложных алгоритмов. Для дешифрования данных в их первоначальном виде требуется математический “ключ”, но при наличии достаточного времени и вычислительной мощности шифрование можно перепроектировать с помощью подхода “грубой силы” — снова и снова пробуя различные алгоритмы дешифрования, пока не будет достигнут успех.
Фактически, одним из основных преимуществ токенизации является то, что вы можете положиться на меры безопасности поставщиков услуг. Поскольку вы не храните информацию о кредитной карте самостоятельно, вам не нужно беспокоиться о том, чтобы тратить время и деньги на то, чтобы следить за последними достижениями в области кибербезопасности, чтобы убедиться, что ваша база данных не уязвима для хакеров. Хотя вы, несомненно, по-прежнему будете хранить некоторую информацию о клиентах самостоятельно, отсутствие какой-либо сохраненной платежной информации значительно снизит вероятность того, что вы станете объектом кибератаки, особенно если вы рекламируете использование токенизации на своем веб-сайте.
Существуют ли недостатки токенизации?
И шифрование, и токенизация помогают продавцу достичь соответствия PCI , уменьшая доступ к данным клиентов, особенно если этим продавцам приходится хранить платежную информацию для повторяющихся транзакций или покупок в один клик. Может показаться, что токенизация менее уязвима для взлома, чем шифрование, и поэтому всегда является лучшим выбором, но у токенизации есть некоторые недостатки.
Самая большая проблема, с которой, как правило, сталкиваются торговцы при токенизации, — это совместимость, особенно когда они добавляют токенизацию в существующую систему. Сценарии и процедуры, которые, возможно, для функционирования опирались на нетекенизированные данные, должны быть идентифицированы и обновлены. В крупномасштабной устаревшей системе это может быть значительным мероприятием. Это может повлиять на процессы возврата платежей, системы запроса карточной сети, управление обменом и вспомогательные протоколы безопасности.
Токенизация также может усложнить запросы в службу поддержки клиентов, когда владелец карты пытается использовать номер своей кредитной карты для идентификации транзакции, а у продавца нет простого способа сопоставить его с соответствующим токеном в своей CRM-системе.
Токенизировать или не токенизировать?
Существует множество веских причин для внедрения токенизации для защиты персональных данных ваших клиентов. Однако для их эффективного использования продавцы должны убедиться, что их персонал и системы полностью оснащены для обработки токенизированных транзакций.
Существует широкий спектр вариантов создания, хранения и обработки токенов, больше, чем мы можем полностью охватить в этом пространстве.
Вопросы и ответы
Каков пример токенизации?
Одним из примеров токенизации является платежная транзакция без использования карты. Вместо номера кредитной карты через платежный портал передается строка символов, не имеющая собственного значения. Затем эта строка отправляется на платежную платформу или сеть, которая проверяет токен и санкционирует транзакцию.
Какова цель токенизации?
Целью токенизации является защита данных. Зашифрованные данные может быть очень сложно расшифровать, но возможность остается. Токен сам по себе бессмыслен и не имеет отношения к базовым данным. Поэтому ее невозможно расшифровать.
Токенизация лучше шифрования?
С точки зрения безопасности - да. Однако токенизация требует ведения базы данных всей токенизированной информации, в то время как при шифровании должен храниться только ключ. Это упрощает масштабирование шифрования для больших объемов данных.
- Что такое токенизация?
- Токенизация против шифрования
- Существуют ли недостатки токенизации?
- Токенизировать или не токенизировать?
- Каков пример токенизации?
- Какова цель токенизации?
- Токенизация лучше шифрования?
Существует правило онлайн-безопасности, которому научились на заре электронной коммерции и которое многие из нас практикуют по сей день: никогда, ни за что не отправлять номер своей кредитной карты по тексту или электронной почте. Даже если вы полностью доверяете получателю, логично предположить, что вы не можете быть уверены, что его электронные сообщения не будут взломаны, перехвачены или иным образом скомпрометированы. Вместо этого мы научились предоставлять информацию о нашей кредитной карте только через защищенные веб-сайты.
Что представляет собой “безопасный” веб-сайт, конечно, вопрос на века. О чистоте ресторана можно судить по состоянию его обеденного зала, но безупречная сервировка стола не является гарантией того, что на кухне нет грязи. Аналогичным образом, безопасное интерфейсное соединение - если у вас даже есть технические ноу—хау для проверки того, безопасно оно или нет, - не означает, что информация о кредитной карте будет обрабатываться в соответствии со строгими протоколами безопасности после того, как клиент передал ее продавцу.
В условиях, когда изощренные, громкие утечки данных затрагивают даже тех продавцов, которые добросовестно стараются обезопасить свои веб-сайты, убедить ваших клиентов в том, что вы делаете все возможное для защиты их информации, важно как никогда, но это также и более сложная задача.
Одним из возможных решений является токенизация: превращение конфиденциальных данных, таких как номера кредитных карт, в бессмысленные номера “токенов”, которые могут быть привязаны к учетным записям карточными сетями, но в своей токенизированной форме непонятны мошенникам и другим наблюдателям.
Тогда разумно ли, что продавцы должны использовать токенизацию в качестве меры безопасности, если они еще этого не сделали? Чтобы ответить на этот вопрос, давайте подробнее рассмотрим, как работает токенизация и какие шаги должны предпринять продавцы для ее эффективного внедрения.
Что такое токенизация?
Мобильные платежи являются одной из основных причин недавнего распространения токенизации. Поскольку в беспроводных сигналах передается больше номеров кредитных карт, чем когда-либо, мошенникам легко “прослушивать” небезопасные передачи.
Токенизация обеспечивает передачу конфиденциальных данных путем замены их чем-то, что не имеет внутреннего значения и не может быть расшифровано. Единственной стороной, способной связать токен с номером личного счета владельца карты, будет поставщик услуг токенизации, которым может быть сеть карт, платежный шлюз или платформа цифрового кошелька, такая как Google или Apple Pay.
Хотя токенизация чаще всего используется платежными системами со стороны владельца карты, она также может использоваться торговыми предприятиями для более эффективной защиты введенной клиентом информации о карте.
Шаг за шагом, вот как это работает:
- Владелец карты предоставляет номер кредитной карты приложению или веб-сайту продавца, на котором включена токенизация.
- Продавец получает уникальный токен от своего поставщика услуг и сохраняет этот токен, а не номер счета, в своей компьютерной системе.
- Когда владелец карты совершает покупку, продавец передает токен своему банку-эквайеру для обработки транзакции.
- Банк-эквайер проверяет у поставщика услуг токенизации, соответствует ли токен действительной кредитной карте.
- Транзакция обрабатывается без того, чтобы номер счета владельца карты когда-либо находился на сервере продавца или отправлялся через Интернет как часть транзакции.
Токенизация против шифрования
На первый взгляд может показаться, что токенизация - это просто шифрование с использованием какого-то нового бренда. Хотя оба процесса служат одним и тем же целям и имеют некоторое сходство, существуют ключевые различия.
Первое и наиболее важное отличие заключается в том, что шифрование является обратимым. Зашифрованные данные генерируются с использованием сложных алгоритмов. Для дешифрования данных в их первоначальном виде требуется математический “ключ”, но при наличии достаточного времени и вычислительной мощности шифрование можно перепроектировать с помощью подхода “грубой силы” — снова и снова пробуя различные алгоритмы дешифрования, пока не будет достигнут успех.
Единственный способ получить доступ к информации - это получить доступ к базе данных поставщика услуг токенизации. Как вы можете себе представить, компании, предоставляющие эту услугу, очень серьезно относятся к кибербезопасности, чтобы не стать слабым звеном в процессе.
Фактически, одним из основных преимуществ токенизации является то, что вы можете положиться на меры безопасности поставщиков услуг. Поскольку вы не храните информацию о кредитной карте самостоятельно, вам не нужно беспокоиться о том, чтобы тратить время и деньги на то, чтобы следить за последними достижениями в области кибербезопасности, чтобы убедиться, что ваша база данных не уязвима для хакеров. Хотя вы, несомненно, по-прежнему будете хранить некоторую информацию о клиентах самостоятельно, отсутствие какой-либо сохраненной платежной информации значительно снизит вероятность того, что вы станете объектом кибератаки, особенно если вы рекламируете использование токенизации на своем веб-сайте.
Существуют ли недостатки токенизации?
И шифрование, и токенизация помогают продавцу достичь соответствия PCI , уменьшая доступ к данным клиентов, особенно если этим продавцам приходится хранить платежную информацию для повторяющихся транзакций или покупок в один клик. Может показаться, что токенизация менее уязвима для взлома, чем шифрование, и поэтому всегда является лучшим выбором, но у токенизации есть некоторые недостатки.
Самая большая проблема, с которой, как правило, сталкиваются торговцы при токенизации, — это совместимость, особенно когда они добавляют токенизацию в существующую систему. Сценарии и процедуры, которые, возможно, для функционирования опирались на нетекенизированные данные, должны быть идентифицированы и обновлены. В крупномасштабной устаревшей системе это может быть значительным мероприятием. Это может повлиять на процессы возврата платежей, системы запроса карточной сети, управление обменом и вспомогательные протоколы безопасности.
Токенизация также может усложнить запросы в службу поддержки клиентов, когда владелец карты пытается использовать номер своей кредитной карты для идентификации транзакции, а у продавца нет простого способа сопоставить его с соответствующим токеном в своей CRM-системе.
Токенизировать или не токенизировать?
Существует множество веских причин для внедрения токенизации для защиты персональных данных ваших клиентов. Однако для их эффективного использования продавцы должны убедиться, что их персонал и системы полностью оснащены для обработки токенизированных транзакций.
Существует широкий спектр вариантов создания, хранения и обработки токенов, больше, чем мы можем полностью охватить в этом пространстве.
Успешное и эффективное внедрение токенизации будет целостным и сквозным, а не просто быстрым и грязным внедрением в существующую систему. В противном случае существует слишком много потенциальных точек соприкосновения, которые могут привести к ошибкам и неэффективности — или, что еще хуже, к нарушениям безопасности. Построение системы, в которой токенизация занимает центральное, а не второстепенное место, - лучший способ защитить данные вашего клиента и вашу собственную репутацию надежного места для ведения бизнеса.
Вопросы и ответы
Каков пример токенизации?
Одним из примеров токенизации является платежная транзакция без использования карты. Вместо номера кредитной карты через платежный портал передается строка символов, не имеющая собственного значения. Затем эта строка отправляется на платежную платформу или сеть, которая проверяет токен и санкционирует транзакцию.
Какова цель токенизации?
Целью токенизации является защита данных. Зашифрованные данные может быть очень сложно расшифровать, но возможность остается. Токен сам по себе бессмыслен и не имеет отношения к базовым данным. Поэтому ее невозможно расшифровать.
Токенизация лучше шифрования?
С точки зрения безопасности - да. Однако токенизация требует ведения базы данных всей токенизированной информации, в то время как при шифровании должен храниться только ключ. Это упрощает масштабирование шифрования для больших объемов данных.
